在上周举行的2020年RSA大会中,勒索软件攻击和防御是大家讨论的主要话题。大部分讨论集中在不断变化的威胁,特别是攻击者威胁要泄漏受害者的数据,以此迫使他们支付赎金。而其他讨论涉及勒索软件的经济学问题,包括围绕支付赎金的道德问题,并且多名专家表示,近年来,企业对支付赎金的态度已经发生了巨大变化。
Deloitte公司网络战略、防御和响应部门负责人Andrew Morrison说:“支付赎金的意愿已经上升。在两年前甚至18个月前,人们普遍的看法是‘我们不与恐怖分子进行谈判,我们不支付赎金。’这是联邦调查局的建议,也是我们的建议-每个人的建议都是不要支付赎金,因为这只会使情况变得更糟,并且你不能保证恢复数据。”
Morrison认为,这种观念发生了巨大变化。
他说:“现在,几乎每个企业都将其视为业务决策,他们像权衡其他财务决定一样权衡支付赎金的决定。这笔支出是否值得?”
Malwarebytes Labs主管Adam Kujawa说,这种态度的改变是勒索软件攻击演变的直接结果,攻击者将目光投向更大的企业目标,勒索软件攻击变得越来越具有破坏性。
Kujawa说,在最初的几年里,勒索软件主要针对消费者,而行业标准建议是不要支付赎金。
他说:“不要给这些人付钱,不要鼓励他们,支付赎金只会使情况变得更糟。美国联邦调查局也这么建议。但是现在情况已经有所不同,勒索软件比以往任何时候都更具针对性。现在勒索软件专门针对更大的网络,当感染整个网络时制造尽可能大的破坏,正如我们看到的Emotet和TrickBot这样的特洛伊木马,它们会横向移动并能够破坏整个网络,然后在每个端点都被感染后启动勒索软件。”
支付赎金的风险
对于拒绝支付赎金,甚至执法机构和政府官员似乎也软化了立场。在RSA大会期间,FBI监管特工Joel DeCapua强调了支付勒索软件赎金的风险,并建议不要这样做,但他也承认某些企业可能别无选择。
DeCapua说:“我们不主张支付赎金。我们看到有的人支付了赎金,然后又没有取回他们的数据。”
DeCapua说:“很多时候,当你支付赎金时,攻击者实际上在系统上还有很多其他后门程序。你不会得到想要的东西;结果也不是很好。我们鼓励人们不要支付赎金,但是我们确实理解,当人们处于这种可怕的境况中时,他们必须做出艰难的选择。”
在RSA大会的另一场针对勒索软件的会议上,司美国法部计算机犯罪和知识产权科的高级律师William Hall谈到SamSam勒索软件,在会议期间,Hall犹豫是否参加有关是否支付赎金的辩论,但他指出双方的积极态度。
Hall说:“很多执法人员相信,如果受害者停止支付赎金,则最低限度的勒索软件对犯罪分子来说不是非常有效的手段,并且他们可能会停止。我今天在这里并不会谈论这个非常困难的问题领域。”
他说,但是,受害者为SamSam勒索软件支付赎金是“重要的证据”,有助于执法机构识别攻击者。
信息安全社区中的一些人表示担心,对勒索软件支付赎金的态度转变导致更多企业向攻击者支付赎金付款,他们担心这会导致更多攻击。Risk Based Security首席执行官兼首席信息安全官Jake Kouns同意,支付赎金的趋势有所增加,尤其是在安全预算较小且可能没有足够攻击准备的中小型企业中。
他说:“这是一个艰难的局面,因为你不想为更多的攻击做出贡献。但同时,如果不支付赎金,企业可能面临倒闭的风险,他们真的愿意为了更大的利益而选择倒闭吗?”
Morrison说,Deloitte对遭受严重勒索软件攻击的制药客户进行了事件响应(IR),攻击者对该公司即将上市的药物研究进行了加密,而该药物可能挽救生命。
他说:“对于他们来说,他们肯定要支付赎金,因为这不仅是收入的损失,而且涉及生命。”
Morrison称,有些攻击并未到这个程度,但客户仍然选择支付赎金。
他说:“有时他们会选择支付赎金,他们说,如果我激活我的[IR]固定器,花费将比赎金还多。这是最初的心态。他们不一定理解的是这一决策充满风险。你并不是得到一个神奇的钥匙,然后将其插入,一切都会恢复。”
勒索软件攻击呈上升趋势
勒索软件支付赎金增加的另一个因素是攻击数量的增加。思科Talos情报小组的外联负责人Matt Valites表示,由于攻击在受害者的IT环境使攻击变得更加严重和普遍,因此,支付赎金的决定不只是单纯的财务权衡。
他说:“现在有很多勒索软件,我们的IR团队不断看到勒索软件。是否支付赎金是企业自身但决定,这取决于很多事情,例如你的预算是多少。并且,即使你付钱,你也无法摆脱这一情况,攻击者可以马上再重来一次。”
尽管事件响应专家发出警告,但专家表示,勒索软件的趋势正在朝错误的方向发展。Morrison说,最大的问题是勒索软件攻击很成功,企业正在努力阻止感染以及对其环境的破坏。
Morrison说:“网络安全一直是猫鼠游戏,比的是谁有更好的武器、更好的防御。这一直处于平衡状态,但现在我认为我们正在失去这一平衡。在恢复平衡之前,以及在有更好的防御来应对勒索软件之前,这一趋势继续发展。”